User's blog

Category: Uncategorized

  • Testes de Penetração sob Demanda do AWS Security Agent Agora Disponíveis para Todos

    Testes de Penetração Contínuos, Não Periódicos

    A disponibilidade geral do AWS Security Agent marca um ponto de inflexão importante na segurança de aplicações na nuvem. Pela primeira vez, as organizações podem executar testes de penetração abrangentes em todo o seu portfólio de aplicações, não apenas nas mais críticas. Esse avanço transforma avaliações de segurança de um gargalo periódico em uma capacidade sob demanda que escala conforme o ritmo de desenvolvimento.

    Historicamente, os testes de penetração manuais eram demorados e caros. As equipes de segurança realizavam essas avaliações periodicamente, frequentemente com semanas ou meses entre ciclos, deixando a maioria das aplicações potencialmente expostas durante os intervalos entre testes. O novo serviço da AWS resolve esse problema ao oferecer testes contínuos que funcionam 24/7, consumindo uma fração do custo dos testes manuais.

    O AWS Security Agent comprime o cronograma de testes de penetração de semanas para dias, reduzindo dramaticamente a janela de exposição enquanto mantém a velocidade de desenvolvimento. Com suporte a múltiplas nuvens — AWS, Azure, GCP e ambientes on-premises — permite consolidar testes de segurança em toda a infraestrutura.

    Como Funciona: Agentes de IA Autônomos

    O AWS Security Agent representa uma nova classe de agentes de fronteira: sistemas autônomos que trabalham independentemente para atingir objetivos, escalam massivamente para lidar com tarefas concorrentes e executam continuamente sem supervisão humana constante.

    Diferentemente de scanners tradicionais que geram descobertas sem validação, o AWS Security Agent atua como um testador de penetração, identificando vulnerabilidades potenciais e depois tentando explorá-las com payloads direcionados e cadeias de ataque para confirmar que são riscos de segurança legítimos. Essa abordagem minimiza falsos positivos e fornece visibilidade sobre o raciocínio do agente: como planeja ataques, quais payloads utiliza, quais ferramentas constrói para executar exploits e como verifica a exploração bem-sucedida.

    Cada descoberta inclui pontuações de risco do Sistema de Pontuação de Vulnerabilidades Comum (CVSS), classificações de severidade específicas da aplicação e passos detalhados de reprodução. Isso permite que as equipes se concentrem em vulnerabilidades confirmadas em vez de investigar ruído de scanner.

    Segurança Contextualizada: Entendendo o Aplicativo

    O AWS Security Agent combina testes estáticos de segurança de aplicações (SAST — Static Application Security Testing), testes dinâmicos de segurança de aplicações (DAST — Dynamic Application Security Testing) e testes de penetração em um único agente consciente do contexto.

    O agente ingere documentos de design, diagramas de arquitetura, infraestrutura como código, código-fonte, histórias de usuário e modelos de ameaça para entender como o aplicativo foi projetado, construído e implantado. Em seguida, identifica como vulnerabilidades individuais se conectam em cadeias de ataque de severidade maior. Esse contexto mais rico produz descobertas de qualidade superior e recomendações de remediação mais acionáveis.

    Considere um cenário real: uma aplicação de comércio eletrônico apresenta três vulnerabilidades aparentemente isoladas. Primeiro, um cross-site scripting (XSS) armazenado que captura cookies de sessão de administradores. Segundo, ausência de validação de sessão que permite sequestro de conta com privilégios elevados. Terceiro, um endpoint de configuração de administrador que expõe credenciais de banco de dados em texto simples.

    Ferramentas tradicionais detectariam essas descobertas isoladamente: a primeira como uma vulnerabilidade média, a segunda permaneceria imperceptível (porque analisam código estático, não sessões em tempo de execução), e a terceira não seria sinalizada (porque funciona conforme projetada). Cada ferramenta vê um pedaço do quebra-cabeça.

    O AWS Security Agent conecta esses pontos. Ingere a documentação e identifica que o XSS é o ponto de entrada para sequestro de sessão, que por sua vez oferece acesso ao endpoint de configuração que exfiltra credenciais do banco de dados em produção. A cadeia inteira, testada e validada, revela uma vulnerabilidade crítica que qualquer ferramenta isolada teria perdido.

    Configurando seu Primeiro Teste

    O processo de configuração é direto e inclui etapas lógicas:

    Criar espaços de agentes como limites lógicos

    Comece criando um espaço de agente para cada aplicação ou projeto. Um espaço de agente serve como um limite lógico onde conectar documentos e repositórios de código da sua aplicação. O agente usa esse contexto de aplicação para criar casos de teste direcionados específicos para sua implementação.

    Por exemplo, crie um espaço de agente para uma plataforma de comércio eletrônico e conecte seu repositório GitHub, especificações de API e documentação de arquitetura. Analisando esses materiais para entender como a aplicação manipula processamento de pagamentos, sessões e histórias de usuário, o agente cria casos de teste direcionados para vulnerabilidades específicas de manipulação de preços e sequestro de sessão.

    Completar validação de propriedade de domínio

    Antes que os testes comecem, complete a validação de propriedade de domínio adicionando um registro TXT do DNS ou fazendo upload de um arquivo de verificação ao seu domínio. Essa etapa obrigatória garante que possui autorização para testar a aplicação alvo, protegendo você e a AWS. Configure isso uma única vez para todos os domínios durante a configuração inicial.

    Adicionar contexto de aplicação para precisão melhorada

    Embora opcional, fornecer código-fonte e documentação melhora significativamente a precisão dos testes. Inclua:

    • Código-fonte: Habilita testes de caixa branca para identificar vulnerabilidades específicas da implementação. Conecte diretamente repositórios de código-fonte via integração GitHub.
    • Especificações de API (OpenAPI ou Swagger): Documenta todos os endpoints, parâmetros e requisitos de autenticação para que o agente teste de forma abrangente em vez de descobrir endpoints por tentativa e erro.
    • Documentação de arquitetura: Ajuda o agente a entender interações entre serviços e possíveis cadeias de ataque.
    • Documentos de requisitos de produto: Ajuda o agente a entender propósito, funcionalidades e histórias de usuário ao usar a aplicação.
    • Modelos de ameaça existentes: Orienta o agente a focar nas áreas de risco mais alto e preocupações conhecidas.

    Testar em qualquer ambiente

    O AWS Security Agent funciona em AWS, Azure, GCP e ambientes on-premises. Configure endpoints públicos fornecendo a URL diretamente, ou conecte endpoints privados por meio de uma VPC para testes seguros de aplicações internas sem exposição à internet.

    Testar aplicações autenticadas

    A maioria das vulnerabilidades existe em áreas autenticadas das aplicações e não podem ser encontradas sem fazer login. Configure múltiplas credenciais para diferentes papéis de usuário para habilitar testes abrangentes: credenciais de usuário padrão para funcionalidade voltada ao cliente, credenciais de usuário privilegiado para funções administrativas e credenciais de conta de serviço para autenticação API-para-API.

    Testando com múltiplos conjuntos de credenciais, o AWS Security Agent identifica vulnerabilidades de escalação de privilégio — por exemplo, descobrindo que um usuário padrão pode acessar funções administrativas manipulando parâmetros de API.

    Fornecer orientação de login para autenticação complexa

    O AWS Security Agent usa capacidades de login baseadas em modelos de linguagem grande (LLM) para navegar fluxos de autenticação incluindo OAuth, SAML, Okta e autenticação multifator (MFA). Fornecer orientações de login claras melhora significativamente as taxas de sucesso, por exemplo:

    Navegue para app.example.com/auth/login
    Digite o nome de usuário no campo Email ou Username
    Digite a senha no campo Password
    Escolha Sign In

    Instruções específicas, passos sequenciais e critérios de verificação de sucesso ajudam o agente a navegar seu fluxo de autenticação de forma confiável.

    De Descobertas a Correções: O Ciclo de Segurança Completo

    O AWS Security Agent valida vulnerabilidades potenciais tentando explorá-las para confirmar que o risco de segurança realmente existe. Essa abordagem de validação minimiza falsos positivos e reduz o tempo que sua equipe passa verificando manualmente descobertas. O agente alcançou uma taxa de sucesso de 92,5% no CVE Bench v2.0, demonstrando sua capacidade de descobrir e validar vulnerabilidades do mundo real.

    Cada descoberta inclui pontuações de risco CVSS, classificações de severidade específicas da aplicação, passos detalhados de reprodução e análise de impacto que explica o risco comercial. Em uma aplicação de comércio eletrônico, o agente poderia descobrir uma vulnerabilidade de manipulação de preço mostrando como invasores podem modificar preços durante o checkout, permitindo que clientes obtenham itens gratuitamente e impactando diretamente a receita.

    O agente também identifica como vulnerabilidades se encadeiam, mostrando como descobertas de severidade mais baixa podem se tornar gateways para exploits críticos. Pode exportar relatórios como arquivos PDF para relatórios executivos, documentação de conformidade, passagem para desenvolvedores e trilhas de auditoria.

    Remediação com sugestões de código

    Os testes de penetração tradicionais terminam com um relatório; depois semanas ou meses se passam enquanto desenvolvedores pesquisam, implementam e implantam correções. O AWS Security Agent completa o ciclo de segurança: execute o teste de penetração e identifique vulnerabilidades confirmadas, revise as descobertas e priorize problemas críticos, dispare a remediação para gerar pull requests com correções de código, desenvolvedores revisam e fazem merge das correções prontas para implementar em horas em vez de dias, refaça o teste para confirmar que vulnerabilidades foram resolvidas e implante com confiança sabendo que problemas de segurança foram abordados.

    Disponibilidade Regional e Preços

    O AWS Security Agent com testes de penetração sob demanda está disponível nas seguintes regiões AWS:

    • US East (N. Virginia)
    • US West (Oregon)
    • Europe (Ireland)
    • Europe (Frankfurt)
    • Asia Pacific (Sydney)
    • Asia Pacific (Tokyo)

    O modelo de preços é direto e transparente: $50 por hora de tarefa, medido por segundo. Uma hora de tarefa representa o tempo que o AWS Security Agent trabalha ativamente testando sua aplicação. Com base nas métricas atuais, um teste de aplicação médio leva aproximadamente 24 horas de tarefa, resultando em um custo típico de $1.200 por teste de penetração abrangente e remediação.

    Exemplos de custos típicos:

    • Aplicação web pequena (8 horas de tarefa): $400
    • Plataforma de comércio eletrônico média (24 horas de tarefa): $1.200
    • Aplicação empresarial grande (48 horas de tarefa): $2.400

    Alguns clientes encontraram que o AWS Security Agent oferece economias de 70–90% comparado aos testes manuais de penetração tradicionais.

    Comece Hoje

    Transformar os testes de segurança da sua organização é direto. Acesse o console de gerenciamento AWS para o AWS Security Agent, crie um espaço de agente para sua aplicação, complete a validação de propriedade de domínio, conecte seu repositório de código e adicione documentação, configure e execute seu primeiro teste de penetração em minutos.

    Conclusão

    Ao usar testes de penetração sob demanda no AWS Security Agent, as organizações podem testar todas suas aplicações continuamente, não apenas as mais críticas periodicamente. Comece com uma aplicação, experimente descobertas validadas e remediação automática em ação, depois escale testes de segurança abrangentes por todo o portfólio.

    Fonte

    AWS Security Agent on-demand penetration testing now generally available (https://aws.amazon.com/blogs/security/aws-security-agent-on-demand-penetration-testing-now-generally-available/)

  • AWS IAM Identity Center chega à Região de Nuvem Soberana Europeia (Alemanha)

    Expansão da solução de acesso em nuvem soberana europeia

    A AWS ampliou sua oferta de serviços de gerenciamento de identidade ao disponibilizar o IAM Identity Center na Região de Nuvem Soberana Europeia (Alemanha). Esse lançamento reflete o compromisso da Amazon em oferecer soluções que atendam aos requisitos de soberania de dados cada vez mais rigorosos estabelecidos pela União Europeia.

    O AWS European Sovereign Cloud representa uma infraestrutura de nuvem independente, inteiramente localizada no território europeu, desenvolvida especificamente para atender às necessidades de clientes que precisam garantir conformidade com regulamentações de soberania europeia.

    O que é o IAM Identity Center

    O IAM Identity Center (Identity and Access Management Identity Center) é apresentado pela AWS como a solução recomendada para gerenciar o acesso da força de trabalho aos aplicativos em nuvem. O serviço funciona como um ponto centralizado para autenticação e autorização de usuários.

    Principais funcionalidades do serviço

    O IAM Identity Center permite que organizações conectem sua fonte existente de identidades corporativas uma única vez e ofereçam aos usuários uma experiência de logon único (Single Sign-On) em toda a infraestrutura da Nuvem Soberana Europeia da AWS.

    Além disso, o serviço possibilita:

    • Capacitar experiências personalizadas fornecidas pelos aplicativos AWS
    • Definir e auditar o acesso de usuários aos dados em serviços AWS com consciência de identidade
    • Gerenciar o acesso entre múltiplas contas AWS a partir de um local centralizado

    Vantagens para o mercado europeu

    A disponibilização do IAM Identity Center na região alemã da Nuvem Soberana Europeia oferece às organizações europeias a possibilidade de implementar soluções robustas de gerenciamento de acesso mantendo o controle total sobre seus dados e a conformidade com regulamentações locais.

    Um diferencial importante é que o IAM Identity Center está disponível sem custo adicional, permitindo que empresas adotem práticas de segurança e governança de identidades sem impacto orçamentário extra.

    Próximos passos

    Organizações interessadas em utilizar o IAM Identity Center nessa região podem consultar a documentação detalhada do serviço para compreender melhor as capacidades e a arquitetura da solução.

    Para implementações práticas e orientações técnicas, a documentação técnica do IAM Identity Center fornece guias passo a passo e as melhores práticas para configuração e operação do serviço.

    Fonte

    AWS IAM Identity Center is now available in AWS European Sovereign Cloud (Germany) Region (https://aws.amazon.com/about-aws/whats-new/2026/03/aws-iam-identity-center-european-sovereign-cloud-germany-region/)

  • Guia de Conformidade ISO/IEC 27001:2022 Agora Disponível para AWS

    Novo Guia de Conformidade para ISO/IEC 27001:2022 na AWS

    A AWS disponibilizou um guia de conformidade abrangente focado em ISO/IEC 27001:2022, voltado para organizações que estão projetando e operacionalizando um Sistema de Gestão de Segurança da Informação (SGSI) utilizando os serviços da plataforma.

    Por Que Este Guia Importa

    À medida que as organizações migram cargas de trabalho críticas para ambientes em nuvem, alinhar-se com padrões internacionalmente reconhecidos como a ISO/IEC 27001:2022 torna-se um passo importante para fortalecer governança, gestão de riscos e práticas de segurança da informação. Este guia foi estruturado para atender arquitetos de nuvem, equipes de segurança, líderes de compliance e profissionais de DevOps, ajudando-os a compreender como implementar e operar controles alinhados à ISO 27001 utilizando os serviços da AWS e aplicando o Modelo de Responsabilidade Compartilhada (Shared Responsibility Model) da empresa.

    O Que o Guia Aborda

    O documento orienta sobre como integrar serviços da AWS em um SGSI para suportar os requisitos definidos nas cláusulas 4 a 10 da ISO 27001:2022 e controles selecionados do Anexo A. Além disso, destaca como as capacidades nativas de segurança, monitoramento e automação da AWS podem auxiliar clientes a manter visibilidade, melhorar consistência operacional e preparar evidências auditáveis.

    Estrutura do Conteúdo

    O guia de conformidade inclui os seguintes tópicos:

    • Visão geral do framework ISO/IEC 27001:2022, incluindo as cláusulas 4 a 10 do SGSI e controles do Anexo A
    • Mapeamento de controles selecionados da ISO 27001:2022 Anexo A para serviços e capacidades arquiteturais da AWS
    • Orientações para implementar controles complementares de responsabilidade do cliente dentro de ambientes AWS
    • Recomendações para coleta de evidências, documentação e preparação para auditorias utilizando ferramentas nativas da AWS
    • Considerações de governança e gestão de riscos para organizações que estabelecem um SGSI na AWS
    • Boas práticas para operacionalizar atividades de conformidade através de automação e infraestrutura como código (Infrastructure-as-Code)

    Responsabilidades Compartilhadas

    É importante destacar que, embora a AWS forneça uma infraestrutura de nuvem segura e compatível com requisitos de conformidade, as organizações clientes permanecem responsáveis por definir o escopo do seu SGSI, implementar os controles apropriados e demonstrar conformidade durante auditorias de certificação.

    Benefícios da Implementação

    Ao combinar as melhores práticas da ISO 27001 com os serviços de segurança da AWS, as organizações podem construir ambientes escaláveis que suportam melhoria contínua de segurança, visibilidade operacional e preparação para certificação.

    Como Acessar o Material

    O guia completo de conformidade ISO/IEC 27001:2022 para AWS está disponível para download. Para obter assistência adicional, as organizações podem entrar em contato com os AWS Security Assurance Services.

    Fonte

    New compliance guide available: ISO/IEC 27001:2022 on AWS (https://aws.amazon.com/blogs/security/new-compliance-guide-available-iso-iec-270012022-on-aws-compliance-guide/)

  • AWS HealthOmics apresenta fluxos de trabalho conectados à VPC

    Novidade na AWS HealthOmics: fluxos de trabalho com conexão VPC

    A AWS HealthOmics anunciou a introdução de fluxos de trabalho conectados à VPC (Nuvem Privada Virtual), permitindo que seus clientes executem pipelines de bioinformática com acesso a recursos da AWS distribuídos em diferentes regiões e também a recursos disponíveis na internet pública, tudo através de uma Nuvem Privada Virtual configurada pelo cliente.

    O que muda para os clientes de ciências da vida

    Esta evolução oferece um alívio significativo aos profissionais que trabalham com dados bioinformáticos: não é mais necessário migrar dados e dependências para a mesma região da AWS onde o fluxo de trabalho será executado. Isso simplifica bastante os processos operacionais e reduz o tempo gasto em preparação de dados.

    O HealthOmics é um serviço elegível para HIPAA que ajuda a acelerar descobertas científicas em escala, com fluxos de trabalho bioinformáticos totalmente gerenciados. Com essa nova capacidade, pesquisadores e cientistas conseguem desenvolver e testar pipelines de forma mais rápida.

    Flexibilidade de configuração e acesso a dados

    A solução permite que os clientes estruturem fluxos de trabalho capazes de acessar conjuntos de dados disponibilizados publicamente na internet e, simultaneamente, recursos da AWS distribuídos em diferentes regiões, sem necessidade de alterar o código do fluxo de trabalho ou fazer migrações de dados entre regiões.

    Para isso, foram introduzidas as APIs de Configuração, que permitem especificar uma VPC configurada para acessar recursos na internet pública. O HealthOmics consegue enviar e receber tráfego de rede através dessa configuração, facilitando a utilização de diferentes topologias de rede conforme cada caso de uso necessitar. As dependências de internet pública podem ser adicionadas ou removidas a qualquer momento.

    Um diferencial importante é que as configurações de rede são aplicadas no nível de execução individual do fluxo de trabalho, não globalmente. Isso significa que você pode ativar a conexão VPC apenas para os fluxos que realmente precisam dela, mantendo outros em configurações diferentes.

    Disponibilidade regional

    Os fluxos de trabalho conectados à VPC estão disponíveis em todas as regiões onde o AWS HealthOmics opera atualmente: US East (N. Virginia), US West (Oregon), Europa (Frankfurt, Irlanda, Londres), Israel (Tel Aviv), Ásia Pacífico (Singapura) e Ásia Pacífico (Seul).

    Próximos passos

    Para aprender mais sobre como conectar seus fluxos de trabalho à sua VPC, consulte a documentação do HealthOmics.

    Fonte

    AWS HealthOmics introduces VPC-connected workflows (https://aws.amazon.com/about-aws/whats-new/2026/03/aws-healthomics-vpc-connected-workflows/)

  • AWS Security Hub agora disponível nas Regiões AWS GovCloud (US)

    Expansão do AWS Security Hub para Ambientes Governamentais

    O AWS Security Hub, solução unificada de segurança em nuvem da AWS, foi disponibilizado nas regiões AWS GovCloud (US-East) e AWS GovCloud (US-West). Essa expansão permite que organizações que operam em ambientes governamentais acessem uma plataforma robusta para priorizar questões de segurança críticas, responder rapidamente a incidentes e reduzir riscos de segurança em escala.

    Como o Security Hub Detecta e Prioriza Riscos

    O serviço funciona através da correlação e enriquecimento de sinais de segurança originários de múltiplas fontes: Amazon GuardDuty, Amazon Inspector e AWS Security Hub Gerenciamento de Postura de Segurança em Nuvem (CSPM). Essa integração permite que os riscos ativos sejam identificados e priorizados rapidamente no ambiente de nuvem.

    A entrega de análises de risco em tempo real e tendências avançadas transforma sinais de segurança correlacionados em insights práticos. Visualizações aprimoradas e enriquecimento contextual facilitam a interpretação desses dados por equipes de segurança.

    Capacidades Principais do Serviço

    O AWS Security Hub oferece um conjunto abrangente de funcionalidades para organizações que precisam de conformidade com requisitos governamentais:

    • Implantação centralizada: É possível ativar o Security Hub para contas individuais ou em toda a organização com gerenciamento centralizado
    • Inventário de segurança: Inclui achados de exposição e um inventário de recursos focado em segurança
    • Visualização de caminhos de ataque: O serviço mapeia automaticamente como potenciais ameaças, vulnerabilidades e configurações incorretas poderiam ser encadeadas por adversários para comprometer recursos críticos
    • Fluxos de trabalho automatizados: Resposta automatizada para eventos de segurança

    Modelo de Preços Simplificado

    A AWS consolidou o modelo de preços do Security Hub, combinando as cobranças de múltiplos serviços de segurança da AWS em uma única estrutura. Essa abordagem oferece maior previsibilidade de custos e simplifica o gerenciamento financeiro das soluções de segurança.

    Próximos Passos

    Para começar com o AWS Security Hub, é possível acessar o console do AWS Security Hub ou consultar a página do produto. Para conhecer a lista completa de regiões AWS onde o Security Hub está disponível, consulte a lista de serviços regionais da AWS.

    Fonte

    AWS Security Hub is now available in AWS GovCloud (US) Regions (https://aws.amazon.com/about-aws/whats-new/2026/03/aws-security-hub-govcloud-us-regions/)

  • CloudWatch agora centraliza logs de múltiplas contas e regiões com base na origem dos dados

    Centralização de logs com flexibilidade por origem de dados

    A AWS anunciou uma expansão significativa nas capacidades de centralização do CloudWatch. O serviço agora permite que clientes centralizem logs com base na origem e tipo dos dados, além da abordagem anterior que se limitava aos nomes dos grupos de logs.

    Esta melhoria facilita a cópia de dados de logs de múltiplas contas AWS e regiões para uma única conta de destino, usando regras de centralização mais inteligentes e dinâmicas. A descoberta de origem e tipo de dados acontece automaticamente para logs de serviços AWS (como CloudTrail, VPC e EKS) e, para aplicações customizadas, baseada em tags atribuídas aos grupos de logs.

    Como funciona a seleção por origem de dados

    A grande vantagem dessa funcionalidade é a simplificação na gestão de logs em ambientes complexos. Equipes não precisam mais manter listas atualizadas de nomes de grupos de logs para criar regras de centralização. Em vez disso, definem critérios baseados na origem dos dados.

    Por exemplo, uma equipe de segurança central pode criar uma regra única que automaticamente centraliza todos os logs provenientes de CloudTrail e VPC em toda a organização — sem necessidade de conhecer ou gerenciar os nomes individuais de cada grupo de logs espalhado pelas contas.

    Tipos de logs suportados

    A seleção por origem funciona com categorias importantes como:

    • VPC Flow Logs
    • EKS Audit Logs
    • CloudTrail Logs

    Como começar

    Para aproveitar essa funcionalidade, basta criar ou modificar uma regra de centralização no console do CloudWatch ou via AWS CLI e AWS SDKs. O processo envolve especificar os critérios de seleção de origem de dados na configuração da regra de centralização.

    A seleção por origem de dados está disponível em todas as regiões comerciais AWS onde a centralização de logs do CloudWatch já opera. A precificação padrão do CloudWatch Logs continua aplicável para ingestão, armazenamento e transferência de dados.

    Quando usar essa funcionalidade

    Organizações com arquiteturas distribuídas em múltiplas contas e regiões são as maiores beneficiárias. Especialmente úteis para:

    • Equipes de segurança que precisam centralizar registros de auditoria
    • Operações que consolidam logs para análise e compliance
    • Ambientes que escalam dinamicamente com novos grupos de logs criados frequentemente

    Para mais detalhes técnicos, consulte a documentação oficial de centralização do CloudWatch Logs.

    Fonte

    Amazon CloudWatch now supports multi-account and region log centralization based on data source (https://aws.amazon.com/about-aws/whats-new/2026/03/cloudwatch-centralization-datasource/)

  • CloudWatch Logs expande capacidades de análise com suporte a OpenSearch PPL e SQL na classe Infrequent Access

    Novas capacidades de análise no CloudWatch Logs

    A AWS anunciou expansão das funcionalidades de análise e proteção de dados para a classe de ingestão Infrequent Access (Logs IA) do CloudWatch Logs. Com as novidades, o serviço agora suporta proteção de dados, Piped Processing Language (PPL) do OpenSearch e SQL do OpenSearch. Essas melhorias permitem que as organizações realizem análises mais flexíveis e protejam dados sensíveis ao consolidar logs de forma econômica e nativa na plataforma.

    O que é Logs IA e para quem serve

    A classe Infrequent Access foi projetada especificamente para consolidar logs que são consultados ocasionalmente, como investigações forenses ou análises pontuais. Antes dessa atualização, Logs IA oferecia consultas através da Logs Insights Query Language, exportação para S3 e criptografia — tudo com preço menor por GB em comparação à classe Standard.

    Casos de uso ideais

    A classe é particularmente valiosa para troubleshooting ad-hoc e análise forense em logs que não são acessados regularmente, permitindo reduzir custos sem comprometer a capacidade de investigar problemas quando necessário.

    Capacidades recém-adicionadas

    Consultas avançadas com OpenSearch SQL e PPL

    Com o lançamento, os clientes podem agora executar consultas usando OpenSearch SQL e Piped Processing Language (PPL) do OpenSearch. Isso expande significativamente as possibilidades de análise, permitindo que equipes trabalhem com linguagens de consulta mais sofisticadas e familiares, caso já utilizem OpenSearch em seus ambientes.

    Proteção e mascaramento de dados sensíveis

    A funcionalidade de data protection permite que as organizações detectem e mascararem automaticamente informações sensíveis dentro dos logs. Esse recurso auxilia na conformidade com requisitos de segurança e regulamentações de proteção de dados, um passo importante para qualquer empresa que trabalha com informações críticas.

    Próximos passos

    Para quem deseja explorar essas capacidades, a AWS disponibiliza documentação detalhada sobre preços do CloudWatch Logs IA e um guia de usuário. Para conferir disponibilidade regional do recurso, consulte o AWS Builder Center através deste link.

    Fonte

    Amazon CloudWatch Logs now supports data protection, OpenSearch PPL and OpenSearch SQL for the Infrequent Access ingestion class (https://aws.amazon.com/about-aws/whats-new/2026/03/amazon-cloudwatch-infrequent-access-log-class/)

  • AWS Management Console agora permite controlar a visibilidade de serviços e regiões

    Nova funcionalidade de personalização no AWS Management Console

    A AWS anunciou a disponibilidade geral de uma funcionalidade importante para administradores de contas: as configurações de Serviços Visíveis (Visible Services) e Regiões Visíveis (Visible Regions) no AWS Management Console.

    Essa novidade permite que você customize quais serviços e regiões aparecem no Console de Gerenciamento para os usuários autorizados em sua conta. Na prática, isso significa facilitar a navegação dos seus usuários, permitindo que eles vejam apenas o que realmente precisam usar, reduzindo confusão e tornando o ambiente mais intuitivo.

    Como funciona a configuração

    As configurações podem ser ajustadas diretamente no AWS Management Console. Para isso, basta acessar a seção de Configurações Unificadas (Unified Settings) dentro da aba de Configurações da Conta (Account Settings).

    Além da interface gráfica, a AWS oferece formas de configurar essas opções programaticamente. É possível usar a funcionalidade de Personalização da Experiência do Usuário (User Experience Customization — UXC) através de várias ferramentas:

    • Interface de Linha de Comando da AWS (AWS Command Line Interface — CLI)
    • Kits de Desenvolvimento de Software da AWS (AWS Software Development Kits — SDKs)
    • Kit de Desenvolvimento em Nuvem da AWS (AWS Cloud Development Kit — CDK)
    • AWS CloudFormation

    Disponibilidade e custos

    As configurações de Serviços Visíveis e Regiões Visíveis estão disponíveis em todas as Regiões Comerciais da AWS, e não há custo adicional para usar essa funcionalidade.

    Próximos passos

    Para explorar essa nova capacidade em detalhes, a AWS disponibiliza documentação completa. Você pode consultar a documentação sobre Personalização da Experiência do Usuário e o guia de API para implementar essas configurações em suas operações.

    Fonte

    AWS Management Console now supports settings to control service and Region visibility (https://aws.amazon.com/about-aws/whats-new/2026/03/account-customizations-console/)

  • Preparando-se para IA Agentic: Uma Abordagem para Serviços Financeiros

    O Desafio da IA Agentic em Instituições Financeiras

    A implementação de sistemas de inteligência artificial com capacidade autônoma—conhecida como IA agentic—em serviços financeiros apresenta um duplo desafio. Instituições precisam navegar um ambiente regulatório em constante evolução, conformando-se a estruturas como SR 11-7 nos EUA, SS1/23 no Reino Unido e diretrizes do Banco Central Europeu, enquanto lidam simultaneamente com considerações únicas de segurança introduzidas por esses sistemas autônomos.

    Diferentemente de sistemas de software tradicionais, a IA agentic pode tomar decisões autônomas e executar ações que impactam clientes, operações e reputação institucional. Essa autonomia exige uma abordagem de segurança que vai além dos controles convencionais. Organizações que seguem estruturas estabelecidas como ISO 27001 e Estrutura de Cibersegurança do NIST possuem fundação sólida, mas precisam aumentar seus controles tradicionais com medidas específicas para IA.

    Por Que Controles Tradicionais Não são Suficientes

    A natureza não-determinística dos sistemas de IA, sua capacidade de atuar com autonomia significativa e a complexidade das interações entre múltiplos agentes introduzem novas dimensões de risco que devem ser cuidadosamente gerenciadas. Em serviços financeiros, é essencial ter clareza na explicabilidade e accountability para gestão eficaz de risco em modelos.

    Quando agentes de IA tomam decisões ou executam ações em nome da organização, é necessário ter visibilidade clara sobre o que foi feito, por que foi feito e quem—ou o quê—foi responsável. Essa transparência ajuda a manter confiança, cumprir obrigações regulatórias e implementar IA de forma responsável, alinhado com as práticas de IA Responsável da AWS.

    Dois Pilares Essenciais: Observabilidade e Controle de Acesso

    A abordagem proposta pela AWS se concentra em dois habilitadores críticos: observabilidade abrangente dos fluxos de trabalho agentic e controle fino sobre permissões de acesso às ferramentas dos agentes. Juntas, essas capacidades fornecem a fundação para explicabilidade e criam um ambiente de controle que facilita accountability.

    O documento apresenta sete princípios de design que servem a um propósito duplo: orientar arquitetos de solução durante o design de sistemas de IA e fornecer aos times de gestão de risco um framework para identificar fatores críticos de risco.

    Sete Princípios de Design para IA Agentic Segura

    1. Homologia Segurança Humano-IA

    O primeiro princípio estabelece que é necessário compreender os controles humanos e determinar sua aplicabilidade aos agentes e fluxos de trabalho agentic, documentando as personas dos agentes. Isso inclui implementar identidades de agentes além de permissões tradicionais baseadas em papéis e atributos, com logging e monitoramento comportamental.

    Ações críticas devem ter supervisão (agentic ou humana), o escopo do agente deve ser definido nos fluxos de trabalho, e é preciso considerar gerenciamento de mudanças e incidentes, segregação de deveres do agente para ações e uso de ferramentas, verificação maker-checker, logging e monitoramento comportamental.

    2. Arquitetura Modular de Fluxo de Trabalho Agentic

    Usar sub-agentes especializados em fluxos de trabalho reduz o escopo de permissões que cada agente requer, aumenta modularidade e reusabilidade, simplifica manutenção e melhora observabilidade e explicabilidade. Permissões granulares são anexadas aos sub-agentes, focando estreitamente suas responsabilidades.

    3. Logging e Rastreamento de Fluxo de Trabalho e Agentes

    Implementar logging e rastreamento abrangentes para acompanhar decisões, ações, fluxos de atividade, contexto específico do chamador e etapas de raciocínio habilita melhor explicabilidade. Monitorar interações entre agentes, compartilhamento de contexto e comportamentos emergentes permite visibilidade holística das operações e dinâmicas do fluxo de trabalho multi-agente.

    4. Privilégio Mínimo Segregado para IA

    Aplicar o princípio do menor privilégio e segregação de deveres em fluxos de trabalho automatizados através de limites operacionais claramente definidos para agentes de IA. Esses limites devem ser suportados por controles de autorização, vinculados às permissões do chamador com suporte a verificação contextual, e apoiados por circuit breakers como supervisão humana.

    5. Integração de Governança

    Integrar observabilidade de agentes em frameworks de governança existentes através de alinhamento com processos estabelecidos de gerenciamento de risco e conformidade, implementando frameworks de avaliação padronizados e test harnesses que medem desempenho do agente, conformidade e alinhamento com valor de negócio.

    6. Controles Operacionais Agentic

    Fornecer guardrails amigáveis ao negócio para definir e gerenciar políticas de comportamento de agentes, mantendo controles abrangentes de custo através de monitoramento e otimização da utilização de recursos em níveis individual e de fluxo de trabalho. Usuários de negócio conseguem gerenciar restrições de agentes.

    7. Gestão de Risco e Conformidade

    Integrar rastreamento abrangente de atividades com frameworks de governança existentes para apoiar requisitos de auditoria, conformidade regulatória, e alinhamento com processos estabelecidos de gerenciamento de risco. Isso garante supervisão minuciosa e conformidade em todas as atividades de agentes dentro da estrutura de governança existente da organização.

    Implementação Prática dos Princípios

    Monitorando e Compreendendo Comportamento de Agentes IA

    Para implementar os princípios de homologia segurança humano-IA e logging/rastreamento, é necessário primeiro documentar fluxos de trabalho de agentes e personas, implementando rastreamento abrangente que capture entradas, etapas de raciocínio, saídas e uso de ferramentas.

    A Observabilidade do Amazon Bedrock AgentCore oferece soluções específicas para rastreamento, debug, identificação e monitoramento de desempenho de agentes em ambientes de produção. Essa visibilidade fornece dados para compreender como agentes interagem com sistemas financeiros críticos.

    Uma estratégia de tagging para agentes melhora visibilidade, usando nomes de papéis descritivos para casos de uso pretendidos. Esses tags devem ser antecipados para uso em permissões agentic downstream e fluxos de trabalho upstream.

    Dashboards operacionais, implementados com Amazon CloudWatch, devem fornecer visão da saúde operacional dos agentes, rastreando métricas-chave como conclusões bem-sucedidas, falhas, latência e utilização de recursos.

    Integrar telemetria de agentes com sistemas de monitoramento existentes usando padrões comuns como OpenTelemetry, com Distribuição AWS para OpenTelemetry, permite que instituições financeiras mantenham seus investimentos em ferramentas de monitoramento enquanto estendem visibilidade para atividades de agentes.

    É essencial estabelecer verificações padronizadas no servidor (lado da ferramenta) aplicando controles de acesso consistentes para agentes usando ferramentas, seguindo as práticas recomendadas de segurança AWS para integração de ferramentas. Validação e verificações de sanitização devem estar em lugar em entradas no ponto de uso da ferramenta para detectar comportamento não intencional.

    Gerenciando Mudanças em Ambientes de IA Agentic

    Adaptar processos de gerenciamento de mudanças para acomodar a natureza dinâmica dos agentes de IA mantendo controles apropriados. Revisar processos de aprovação integrados em pipelines de deploy de agentes e adaptá-los à natureza iterativa de pequenas melhorias incrementais.

    Implementar pausas human-in-the-loop em operações agentic permite supervisão adequada. Monitorar contínuamente traços de agentes em um test harness usando ferramentas como Amazon CloudWatch e AWS X-Ray para observar mudanças em padrões de comportamento de agentes que possam indicar drift de execução ou aprendizado inesperado.

    Implementando Privilégio Mínimo para Agentes de IA

    Definir limites de permissão granular para ações de agente implementando controles de permissão refinados para limitar permissões àquelas necessárias para funções de agente, usando por exemplo a Política do Amazon Bedrock AgentCore.

    Considerar segregação de deveres para agentes segregando funções e permissões de acesso a ferramentas para reduzir escopo de impacto de ações não intencionais. Garantir que ações dirigidas por prompt de usuário e ações agente-para-agente sejam separadamente identificáveis.

    Implantar monitoramento de autorização usando ferramentas como Observabilidade do Amazon Bedrock AgentCore que monitora continuamente padrões de autorização de agentes e sinaliza tentativas de acesso anômalas.

    Manter trilhas de auditoria abrangentes de ações de agentes que afetam sistemas de produção e dados sensíveis. Essas trilhas devem ser imutáveis e integradas com sistemas existentes de relatório de conformidade, garantindo que ações agente-para-agente e a fonte original e linhagem da requisição sejam preservadas.

    Implementando Guardrails e Controles Comportamentais

    Recomenda-se adotar uma abordagem crawl, walk, run para implementação de controle, começando com o conjunto mínimo necessário de controles e evoluindo ao longo do tempo com feedback do monitoramento.

    Interfaces amigáveis permitem definir políticas de comportamento de agente e regras de conformidade. Através dessas interfaces, times de risco e conformidade conseguem gerenciar guardrails de agentes diretamente sem intervenção técnica.

    Sistemas automatizados validam ações de agentes contra políticas definidas em tempo real. Por exemplo, usar Amazon Bedrock Guardrails para implementar filtragem de conteúdo, detecção de informações pessoalmente identificáveis (PII), e validação de respostas antes que saídas de agentes atinjam sistemas de produção.

    Fluxos de trabalho de revisão implementam pontos de controle para ações críticas de agentes com caminhos de escalação claros. Definir gatilhos para revisão humana e manter mecanismos de coleta de feedback para melhoria contínua.

    Detectando e Recuperando de Falhas em Agentes IA

    Implantar monitoramento abrangente de saúde e desempenho para agentes de IA que detecte tanto falhas hard quanto degradação de desempenho. A Observabilidade do Amazon Bedrock AgentCore oferece capacidades especializadas para compreender saúde de agentes além de métricas de aplicação tradicional.

    Desenvolver e testar procedimentos automatizados de recuperação e modificação comportamental manual para diferentes tipos de falhas de agentes. Esses procedimentos devem incluir circuit breakers apropriados e caminhos de escalação humana para cenários que requerem julgamento.

    Implementar monitoramento para degradação sutil em qualidade de raciocínio de agentes que pode não disparar alertas de falha tradicionais.

    Garantindo Desempenho Consistente de Agentes Através de Ambientes

    Implementar agentes modulares e reusáveis com baselines de desempenho estabelecidos para operações de agentes através de ambientes de desenvolvimento, teste e produção. Monitorar desvios que possam indicar problemas específicos de ambiente.

    Práticas de teste canary para monitoramento de comportamento de agentes e teste de resiliência implementam teste de release em pequena escala com observabilidade abrangente para detectar mudanças de comportamento inesperadas antes de deploy completo e em runtime.

    Usar teste positivo onde entradas válidas produzem saídas esperadas e teste negativo onde entradas inadequadas ainda alcançam a saída desejada. Testar resiliência de agentes sob várias condições de falha. Usar change control para testes canary para garantir rastreamento ao longo do tempo conforme testes expandem e amadurecem.

    Gerenciando Interações de Fluxo de Trabalho Multi-Agente

    Implementar monitoramento para padrões de colaboração de agentes, monitorando comunicações agente-para-agente dentro de fluxos de trabalho pré-definidos e dinâmicos, compartilhamento de contexto e comportamentos coletivos. Rastrear padrões de interação para identificar riscos potenciais ou ineficiências.

    Implantar testes de rastreamento comportamental para identificar padrões ou resultados inesperados surgindo de interações multi-agente. Estabelecer baselines para comportamento colaborativo normal e alertar sobre desvios, incluindo cenários extremos em testes.

    Registrar logs não-repudiáveis e abrangentes de interações de agentes, incluindo trocas de contexto, handoffs e saídas. Garantir que ações agente-para-agente, fonte original e linhagem da requisição sejam preservadas.

    Otimizando Utilização de Recursos e Custos de Agentes IA

    Implantar monitoramento para padrões de consumo de recursos de agentes, incluindo compute, memória, uso de API e custos usando Amazon CloudWatch. Isso habilita otimização de alocação de recursos e gerenciamento de custos.

    Definir e monitorar indicadores-chave de desempenho específicos para operações de agentes, como eficiência de desempenho de etapas de raciocínio, padrões de uso de ferramentas e tempos de conclusão.

    Implantar detecção de anomalia para métricas de desempenho de agentes para identificar problemas potenciais antes que impactem operações de negócio.

    Conclusão

    A adoção de IA agentic em serviços financeiros requer cuidadosamente balancear inovação com controle. Os sete princípios de design apresentados fornecem um framework para implementar sistemas de agentes de IA explicáveis, governáveis e em geral responsáveis que se alinhem com requisitos de segurança e conformidade existentes.

    Tratando agentes de IA com o mesmo rigor de segurança aplicado a funcionários humanos—através de controle de acesso robusto, permissões baseadas em papel e atributo, e monitoramento abrangente—organizações conseguem implementar seguramente esses sistemas mantendo conformidade com frameworks regulatórios-chave.

    As soluções de propósito específico disponíveis da AWS fornecem fundação técnica, mas sucesso também requer políticas claras e mecanismos de supervisão humana. Instituições financeiras que estabelecerem essas capacidades fundamentais de segurança e governança estarão bem posicionadas para aproveitar IA agentic enquanto contribuem para segurança, explicabilidade e conformidade com padrões de indústria de seus sistemas.

    Para perguntas e feedback, você pode acessar a comunidade de segurança, identidade e conformidade da AWS ou contatar o suporte AWS.

    Fonte

    Preparing for agentic AI: A financial services approach (https://aws.amazon.com/blogs/security/preparing-for-agentic-ai-a-financial-services-approach/)

  • Aurora DSQL: Conector para Ruby Simplifica Desenvolvimento de Aplicações

    Um Novo Conector para Facilitar o Desenvolvimento com Ruby

    A AWS anunciou o lançamento do Conector Aurora DSQL para Ruby (gem pg), uma ferramenta que simplifica significativamente a construção de aplicações Ruby no Aurora DSQL. Este conector representa um avanço importante para desenvolvedores que trabalham com a linguagem Ruby, trazendo segurança e praticidade para a autenticação em bancos de dados na nuvem.

    Segurança e Autenticação Automáticas

    A proposta central do conector é eliminar os riscos de segurança relacionados ao gerenciamento tradicional de senhas geradas pelo usuário. Em vez disso, o conector gera automaticamente tokens para cada conexão, garantindo que sempre sejam utilizados tokens válidos. Ao mesmo tempo, mantém total compatibilidade com os recursos existentes da gem pg, permitindo que aplicações legadas funcionem sem necessidade de alterações significativas.

    Funcionalidades Principais

    O conector está equipado para lidar com várias responsabilidades técnicas críticas: geração automática de tokens do IAM (Gerenciamento de Identidade e Acesso), configuração de SSL e gerenciamento de pool de conexões. Essa abordagem permite que os desenvolvedores escalem suas aplicações — desde scripts simples até cargas de trabalho em produção — sem precisar modificar sua estratégia de autenticação durante o processo de crescimento.

    Recursos Avançados e Flexibilidade

    Além das capacidades essenciais, o conector oferece funcionalidades opcionais importantes. Inclui retry com controle de concorrência otimista (OCC) com backoff exponencial, suporte a provedores de credenciais IAM customizados e integração com perfis AWS. Esses recursos conferem aos desenvolvedores a flexibilidade necessária para gerenciar suas credenciais AWS de diferentes maneiras e lidar eficientemente com falhas transientes.

    Primeiros Passos

    Para começar a utilizar o conector, desenvolvedores podem consultar a documentação dos Conectores para Aurora DSQL. Exemplos práticos de código estão disponíveis no repositório GitHub do conector Ruby. Aqueles que desejam explorar o Aurora DSQL sem custos imediatos podem aproveitar a camada gratuita da AWS Free Tier. Para uma compreensão mais aprofundada sobre o Aurora DSQL, a página dedicada do serviço oferece informações completas.

    Implicações Práticas

    Este conector representa um esforço da AWS em reduzir a complexidade operacional para desenvolvedores Ruby. A automação de tarefas críticas como geração de tokens e configuração SSL, combinada com a manutenção de compatibilidade com ferramentas existentes, posiciona a solução como uma opção atrativa para equipes que buscam modernizar sua infraestrutura de autenticação sem reescrever códigos legados.

    Fonte

    Aurora DSQL launches connector that simplifies building Ruby applications (https://aws.amazon.com/about-aws/whats-new/2026/03/aurora-dsql-connector-for-ruby/)